大数据环境中个人医疗信息的法律保护

徐慧丽

（北京大学法学院 北京 100871）

患者的个人医疗信息经整合与分析后可应用于疾病诊断、新药研发、传染病预测预防等领域，具有很高的经济价值与社会价值。大数据则能利用高性能计算、云计算存储等技术对批量个人医疗数据进行综合分析处理。大数据与个人医疗信息的融合，有望提升政府公共服务效率与医疗行业创新能力，受到了各国政府国家战略层面的重视。中共中央、国务院早在2016 年10 月就已发布了《“健康中国2030”规划纲要》，指出要“加强健康医疗大数据应用体系建设，推进基于区域人口健康信息平台的医疗健康大数据开放共享、深度挖掘和广泛应用”。现阶段医疗大数据已经在各国政府项目或市场企业中得到了应用。例如，美国创业公司Flatiron Health 收集全国范围内癌症病人临床数据，通过大数据分析后用于辅助癌症患者治疗；我国也成立了“中国健康医疗大数据产业联盟”，以及致力于肿瘤领域大数据技术研发与应用的零氪科技等多家市场企业[1]。个人医疗数据在大数据环境中正在获得越来越广泛的应用。

传统环境中医疗信息的应用价值比较低，纸质病历存档于医院，一般被作为患者隐私来保护。例如《执业医师法》第37 条规定医师在执业活动中“泄露患者隐私，造成严重后果的”，可能受到警告、吊销执业证书等处罚。《传染病防治法（2013 年修正）》第12 条规定疾病预防控制机构、医疗机构在传染病调查、检验、采集样本等防控措施中“不得泄露涉及个人隐私的有关信息、资料”。进入高度信息化的现代社会，纸质病历电子化与电子数据、远程医疗普及化，使得患者的医疗信息面临着被多方收集、利用，以及被非法使用的可能性。大数据环境中，大量个人信息进入电子处理与交易状态，个人面临医疗信息泄露的风险。个人医疗信息除了病历中的病情记录以外，还包括患者的姓名、地址、联系人、联系电话等个人身份信息；患者的过敏史、检验检查结果、家族病史等生理信息；患者的费用发生状况、支票结算等其它所有与医疗有关的信息[2]。上述信息均属于患者的个人信息。因此，当个人医疗信息被不当收集或利用时，除了诉诸隐私保护以外，也可作为数据主体，适用个人信息保护的相关法律规定来维护自身的合法利益。

1 个人信息法律保护现状

当前各国对个人信息的法律保护主要存在着两种模式：以美国为主导的隐私权保护模式和欧盟个人信息权保护模式。两种模式在传统信息环境中都能给予数据主体有效的法律保护。我国个人信息保护的相关规定则分散于《民法总则》《刑法》《网络安全法》等法律规定中，体系性不强。我们先对美国和欧盟的保护模式特点进行归纳，然后介绍我国个人信息的法律保护现状。

1.1 美国隐私权保护模式

美国以隐私权作为个人信息保护的权利基础，在公领域实行分散立法模式，在私领域则采取行业自律模式，通过行业组织的内部规范保护信息隐私[3]79。隐私权的概念最早由美国的沃伦（Warren）和布兰戴斯（Brandeis）在《论隐私权》一文中提出，后来逐渐发展成为一种源于美国宪法中个人自由保护条款的法律制度乃至社会文化理念。美国最高院根据所涉利益将隐私权区分为信息隐私权和自主决定权等类型。信息隐私权作为隐私权的核心概念，赋予数据主体对个人信息的决定、支配和控制权利。政府和商业机构对个人信息进行开发利用以促进社会整体进步是值得认可的，但也需要信息隐私权法律对相关行为加以限制，以避免公民隐私因政府或商业机构的不当利用而遭受侵害。信息隐私权保护的个人信息主要是指以记录形式表现的个人信息[3]81，包括个人医疗信息。在公领域，除了法院判例形成了具有约束力的规则以外，联邦国会还通过了一系列与医疗信息有关的单行法规。例如，1996 年《健康保险可携性和责任法案》（HIPAA）及2009 年《经济和临床医疗行业健康信息技术法案》确立了个人医疗信息隐私权的具体保护规则与标准，为传统个人医疗信息提供了相对完善的保护。在私领域，个人信息保护主要依靠政策引导下的行业自律[4]。美国这种保护模式对普通法国家的个人信息保护产生了较大影响，澳大利亚、加拿大等国家均采用隐私权来保护个人信息。

1.2 欧盟个人信息权保护模式

欧盟采取统一立法形式，以个人信息权模式来保护个人信息，典型代表为德国。德国最初受美国影响以隐私权理论保护个人数据。在1983 年人口普查法案判决中，德国宪法法院将个人信息权益称为“信息自决权（Informationelle Selbtbestimmungsrecht）”[5]，赋予了其宪法基础。1990 年制定的《德国联邦个人资料保护法》正式放弃隐私权理论，确认一般人格权为个人信息权的民法基础，对全部个人信息予以同等保护，成为大陆法系其他国家的立法范本[3]67-68。德国将个人信息定义为“可以直接或间接识别自然人（数据主体）的任何信息”，个人医疗信息中的生物识别数据、健康数据、基因数据、自然人性生活或性取向等被列为特殊类别的个人信息受到更为严格的法律保护。此外，德国法律还赋予数据主体以个人数据告知权、个人数据更正权、个人数据封锁权和个人数据删除权四项权利。一般认为这四项权利即为个人信息权的主要内容。

除了德国以外，欧洲其他国家如荷兰、葡萄牙、西班牙、希腊、波兰、奥地利、匈牙利等国家均承认了个人信息权利的宪法地位；2000 年《欧洲基本权利宪章》也对隐私权与个人信息权作出了区分[6]。在2018 年5 月才生效的《关于个人数据处理保护及个人数据自由传输的条例》（简称《通用数据保护条例》）中，个人信息保护就是基于一般人格权的个人信息权来保护的。《通用数据保护条例》沿用知情同意的数据保护架构，明确了“同意”的含义（第7 条）；个人信息保护原则包括目的限制原则、数据最小化原则、准确性原则、限期存储原则、完整性和保密性原则等（第5 条）；数据主体个人信息权的权利内容除了知情权（第12、13 条）、访问权（第15 条）、修正权（第16 条）、限制处理权（第18 条）、反对权（第21 条）以外，还新增了被遗忘权（第17 条）、数据可携带权（第20 条）两类新权利。欧盟所有成员国都必须遵循《通用数据保护条例》，部分条款允许成员国采用内部更为严格的规定。可见，《通用数据保护条例》构成了欧盟个人信息保护的基本框架与最低标准。

1.3 我国个人信息法律保护现状

无论是美国隐私权保护模式还是欧盟个人信息权保护模式，均以个人权利保护为重点，兼顾数据开发利用及两者之间的平衡。相比之下，我国政府虽然也很重视个人信息的开发与应用，但为个人权利提供保障的法律法规则相对滞后。目前我国公民个人信息权的保护，依赖以下法律法规中的相关条款。其中，《民法总则》第111 条将“自然人的个人信息”列为民事权利的一项，为个人信息提供原则性保护。《刑法》第253 条之一规定有“侵犯公民个人信息罪”，以刑事手段规制“出售”“提供”“非法获取”个人信息且“情节严重”的行为。但《民法总则》与《刑法》均未明确“个人信息”的概念。《网络安全法》在“附则”中将“个人信息”定义为“以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，以开放性定义的形式囊括了所有能够“识别自然人身份”的信息类型。《网络安全法》还对个人信息保护的基本原则与责任主体作出了规定，但仅约束网络运营者。此外，《居民身份证法》《统计法》《消费者权益保护法》《电子商务法》等法律规定中，都有涉及个人信息保护的条款。

《民法总则》没有明确将自然人在个人信息方面的民事利益规定为个人信息权，因而在学界引发了关于个人信息保护属于“权利”还是“法益”的争论。笔者认为大数据等新型技术为人们生活带来便利的同时，也将使个人信息保护面临更大的挑战，单纯的法益无法承载个人信息保护的内容。因此笔者倾向于认同杨立新教授等学者的观点，即应当将《民法总则》第111 条规定的个人信息解读为个人信息权[7]。我国民法中的个人信息权保护不同于美国隐私权保护。隐私是不愿告人或不为人所知的事情，强调对私密性的保护，与数据开发利用提倡信息公开的趋势相矛盾，而个人信息则主要是与身份有关联的信息，不以隐秘为要件[8]。因此，在数据处理应用中为数据主体提供法律保障的个人信息权比隐私权更适合信息化社会个人信息的保护。《网络安全法》部分条款将“个人信息”与“隐私权”作为相互独立的两个项目，与“商业秘密”并行列出，就体现了这种趋势。至于我国个人信息权的权利内容、规则、标准等，学界主流意见倾向于参考欧盟模式。

2 个人医疗信息的特殊性及其保护

患者的医疗信息虽然也属于个人信息的范畴，但与普通个人信息有所不同。相较于兴趣爱好、工作单位等日常信息在熟人群体的分享，人们更倾向于医疗信息的私密化，特别是与性、精神状态，或者某些传染性疾病有关的医疗信息。个人医疗信息在大数据环境中具有诸多不同于传统信息环境中普通个人信息的特点，因此对法律制度的设计提出了更高的要求。

2.1 更具敏感性

大数据应用到的医疗信息可能涉及一切与健康相关的活动中产生的所有与生命健康和医疗相关的数据[9]。个人医疗信息的来源既包括医院、疾病预防控制中心等医疗卫生机构的疾病诊疗、监控记录，也包括保险公司、药物或医疗器械销售企业收集到的个人疾病报销、消费者购买数据，以及网络企业提供远程医疗服务或医院信息技术外包服务获得的病情诊疗、检查检验结果咨询数据等。这些数据几乎都有较高的敏感性，部分还涉及极具敏感度的个人信息。如果被不当利用或泄露，数据主体可能遭受人格方面的歧视或者人格利益的损害。在大数据环境中，当出现数据存储位置不确定、遭遇非法交易或被第三方存储在本地终端等问题时，事后救济将难以弥补数据主体遭受的损失。相应地，大数据环境下的个人医疗数据主体需要比普通个人信息更为严格的法律保护。

2.2 更高的集成化应用价值

医疗信息本身即具有很高的潜在开发利用价值，只是在传统信息处理环境中未能被挖掘出来，因而呈现价值密度低的状态。大数据技术使得医疗信息的集成化分析应用成为现实。医疗信息与大数据的结合应用于医院可帮助医生做出更有效的诊断与用药决策，减少依赖个人经验的误诊情况；应用于医药研究中能通过预测解决更深层次的医学难题，改善药物疗效、为新药研发提供市场需求数据；应用于公共健康管理机构能提高公共卫生部门对公众疾病的预防与风险应对能力[10-11]。医疗信息在大数据环境中的高价值密度将对各大医院、商业公司乃至政府公共卫生机构、科研机构等形成巨大的吸引力，从而最大限度地对个人医疗信息进行搜集、处理与交易利用等。法律制度如果限制过紧，将不利于个人医疗信息价值挖掘与医药产业发展；限制力度不够则可能导致个人的敏感信息及个人自主权受到侵犯。因此法律制度需要在充分保障个人信息权益的基础上实现保护与利用之间的平衡。

2.3 更强的社会公益性

面向公众人群的疾病预防与防御是医疗信息在大数据中的一项应用[12]。其它应用诸如医疗诊断能力提升、药物研发技术改善、医药费用降低等，无不有助于增强国家在国际市场中的竞争实力，关乎整个社会的福祉。甚至有学者认为基于医疗目的的基因研究本身就属于一项社会公益[13]。患者提供个人医疗信息用于大数据研究，与社会契约论中个人让渡部分权利给主权者有所不同。在社会契约论中，虽然“每个人都是把自己奉献给全体而不是奉献给任何一个人”，但是“每个人都能从其他结合者那里得到与他转让的权利相同的权利”，因此也“得到了他失去的东西的等价物，并获得了更多的保护其所有物的力量”[14]。但是在大数据应用中，个人提供的医疗信息作出了多少贡献，乃至于是否作出贡献，都不得而知。由于疾病的特殊性，患者能否从大数据研究成果中受益，也可能还是一个未知数。因此，医疗信息在大数据中的应用，对社会的好处多于对个人的好处。

2.4 更多的公权力介入

个人医疗信息的公益性意味着国家公权力有必要介入协调。个人医疗信息在大数据中的应用需要政府发挥公共服务职能，提供更为完善的保障。例如，我国电子病历系统的应用虽然已经起步，但过去多年积累的蕴含有珍贵疾病诊疗信息的大量纸质病历，散落于各大医院，形成信息孤岛。只有借助于政府力量才能有效整合这些信息，实现信息集合在大数据中的研究与应用。不仅如此，政府本身也是医疗信息等个人数据最大的收集、处理与利用主体[15]。大数据产业中医疗信息的开发利用，关乎国计民生与社会经济的发展，是各个国家在数据经济中的战略性规划领域。在医疗信息整合以及后续的管理、利用、再利用过程中，政府可能基于行政绩效考量或由于缺乏尊重个人隐私权利的意识而侵犯个人的信息权利，对数据主体造成不良影响。因此，立法部门在针对个人医疗信息保护进行制度设计时，需强化对行政机关行为的监督与规范，以避免政府部门及其员工对个人信息权利的侵犯。

基于个人医疗信息的特殊性，欧盟将医疗信息作为“特殊种类的个人信息”（Special Categories of Personal Data），为其提供了更为严格的保护。根据《通用数据保护条例》第9 条的规定，能够识别自然人身份的基因数据、生物数据，以及关于健康、自然人性生活或性取向数据等均属于特殊种类的个人数据，原则上禁止处理，除了数据主体明确同意处理、相关数据已经由数据主体明确公开、基于公共健康领域的公共利益等例外情形。当成员国内部有更为严格的规定，则适用其内部规定。《法国民法典》第一卷第一编第三章中就规定遗传特征的检查或鉴别仅限于医疗与科学研究目的，而且必须征得当事人书面形式的明确同意[16]。可见，欧盟的个人医疗信息保护以个人权利为本位，设置了较高的保护标准。我国法律制度中暂无针对个人医疗信息的特殊保护。但在最高法、最高检发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，不同类型个人信息分类保护的思想已经有所体现。在对“情节严重”的认定进行解释时，个人信息被分为三类：第一类“行踪轨迹信息、通信内容、征信信息、财产信息”等，非法获取、出售或提供50 条以上就构成“情节严重”；第二类“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全”的个人信息，非法获取、出售或提供500 条以上构成“情节严重”；第三类即上述信息以外的普通个人信息，非法获取、出售或提供5000 条以上才构成“情节严重”。个人医疗信息中的“健康生理信息”作为第二类属，获得了比普通信息更强力度的保护。该条款对《刑法》具体条文进行解释，具有等同于法律的地位[17]，可以为《个人信息保护法》中个人医疗信息特殊保护的思路提供参考。然而该条款的主要目的在于解释“情节严重”的认定，既没有对个人信息作出体系性分类，也未明确“健康生理信息”“财产信息”等概念的含义或范围等。我国个人信息保护法如何为个人医疗信息提供完善的法律保护，仍然需要仔细分析研究。

3 大数据对个人医疗信息保护的冲击

在讨论如何更为完善地保护个人医疗信息时，除了医疗信息本身的特殊性之外，较值得关注的问题是大数据对传统信息保护模式带来的冲击。传统信息环境中医疗信息的处理受限于计算机性能，未能在产业中获得深度开发利用。大数据的云存储和高性能计算能力等可以充分挖掘个人医疗信息的潜在价值，并应用于科学研究和产业，国家公共医疗事业中的美好图景得以实现。但这些新技术的应用可能导致传统信息法律保护机制无法充分发挥作用，导致数据主体的个人医疗信息面临更多更复杂的侵权风险。大数据的新技术特征首先表现为大数据能高速处理传统数据库技术无法应对的大容量、复杂数据集合；其次是数据获得方式从传统环境中的被动采集变成了基于移动互联网、物联网、科学实验等的主动获得模式[18]。除此之外，与传统信息处理技术基于随机采样分析思维、从最少数据中获得最多信息的模式不同，大数据不再追求精确性与因果关系，而是通过对纷繁混杂的全量数据进行分析，寻找数据间隐含的相关性，得到看似缺乏因果逻辑实则更加准确的预测结果[19]33-75。面临着新技术运行机制的冲击，大数据环境中个人医疗信息法律保护遇到了多方面的挑战。

3.1 大数据对个人医疗信息保护基本原则的挑战

个人医疗信息适用普通个人信息保护的基本原则，包括目的明确原则、限制利用原则等。目的明确原则即个人医疗信息的收集目的在收集前就应明确，其后的利用仅限于实现收集目的和与最初的收集目的不相抵触的其他目的，变更后的目的也应该是明确的[3]198-199。限制利用原则即对个人医疗信息不得在目的外进行揭露、提供或利用，除非获得个人数据主体同意或法律另有规定[3]198-199。这两种原则是《OECD 个人资料保护指针》建议的个人信息保护基本原则，对其它国际组织乃至各国国内立法都产生了较大影响。在《通用数据保护条例》中，这些原则均有所体现。

但是在大数据环境中，此类原则将很难得到遵循。大数据的处理对象是由多类型数据组成的混杂数据集合，数据集合中的个人医疗信息与处理结果之间无直接的因果逻辑关系。在个人医疗信息收集的初始阶段，我们难以预料数据将产生哪些用处[20]。例如谷歌公司曾经利用搜索引擎中收集到的海量用户关键词信息，预测特定地区流感或登革热疫情的爆发机率，预测效率甚至高于官方机构。初期收集用户关键词信息时，谷歌公司自身可能都没有预料到这些信息经检测分析能够用于传染病预测。不难推断，若要求信息在收集汇总阶段就必须满足目的明确原则，将难

以实现数据集合的混杂性要求，也得不到准确的预测结果。目的限制原则也面临着类似问题。大数据环境中数据的价值已经不限于特定用途，二次利用乃至重复利用、数据集合重组等形式能够挖掘出来的潜在价值远远大于其服务于初始目的的使用价值[19]33-75,132-140。如果数据在特定目的之外不能进行再次利用，将大大降低数据的经济价值与使用效率，增加数据重新搜集的成本。

3.2 大数据对知情同意架构的挑战

“知情同意”作为一项法律术语始于医疗领域，用于表达患者的自主，随着社会信息化的发展，逐渐扩张成为个人信息保护的核心架构[21]。医疗信息的保护也需要遵循传统个人信息保护的知情同意架构，即医院、疾病防治机构等在搜集数据主体的数据之前应告诉数据主体需要哪些信息、如何处理、用于哪些用途等，依照法律规定获得数据主体明确同意并许可后才能处理利用这些信息。在传统信息环境中，个人医疗信息由数据控制者直接使用，或转让给后续控制主体直接使用。数据使用方式受限于技术水平而较为直接、简单，易于为数据主体所理解，因此知情同意架构能够降低数据风险，保护数据主体对个人医疗信息的自主决定权。在数据驱动经济的发展下，数据已经成为企业的经济与战略资产，数据主体希望拥有与企业协商谈判的机会以获得回报，因此知情同意架构不仅是选择的表达，还已经成为个人医疗信息经济价值的协商工具[22]。

然而，大数据环境中知情同意架构可能失去了原有的效用。新的信息获取方式和信息处理技术，超出了普通用户的理解范围，数据主体失去了在清晰、明确的意志下行使许可权利的机会。首先，数据控制者所拥有的数据，可能源于网络服务器或者浏览器缓存，也有可能是利用大数据分析技术生成的电子数据集合，从而规避知情同意的程序。其次，在遵循“知情同意”架构的情形中，个人医疗信息的自主决定权也有可能被架空。例如，包括远程医疗、社交通信在内的网络企业均以免费形式提供产品，或者形成社交网络的平台锁入效应，用户注册时只能选择提交个人信息，并“同意”授权条款，否则无法享受便利服务或者参与互联网人际交往。部分软件甚至在新用户注册页面直接将“同意”与“注册”两个按钮合二为一。这在表面上是数据主体以个人信息换取便利，实质上是数据主体失去了自主选择的权利。即使企业或者服务机构遵守类似于《通用数据保护条例》的规定，在授权条款中清晰、明确地陈列数据主体个人医疗信息的用途、处理方式、权利义务等内容，用户面对长篇累牍的专业术语也难免无所适从。因此，“知情同意”流程沦为形式，个人医疗信息实际上成为了一种强制性交换条件，企业或服务机构则实现了搜集、利用个人医疗信息数据集合的目的[23]。最后，这种强制性交换意味着数据主体与数据控制者之间地位的不对等，数据主体无法通过“知情同意”架构获得与个人医疗信息相对应的经济回报。大数据环境中信息处理不是聚焦于单条用户信息的特征分析，而是重点探究群体乃至国家的行为和态度[22]。从信息控制者来看，单个数据主体的信息贡献难以估算，价值几乎趋近于零。因此在信息搜集过程中，信息控制者会尽可能简化“知情同意”程序，降低沉没成本，更遑论为每一位数据主体提供谈判机会。

3.3 大数据对个人医疗信息保护权利内容的挑战

个人信息权的权利内容在持续适应与变化中，大数据与其中一些权利内容发生了抵触，如被遗忘权。被遗忘权即个人数据删除权，是指“数据主体对已被发布在网络上的，有关自身不恰当的、过时的、继续保留会导致其社会评价降低的信息，要求信息控制者予以删除的权利”[24]。个人医疗信息的泄露或公开，有可能导致数据主体“社会评价降低”，甚至引起人格方面的歧视。《通用数据保护条例》在第17 条中首次将被遗忘权明确规定为数据主体的一项权利，赋予数据主体要求数据控制者删除特定数据的权利。但是数据主体主张权利的对象仅仅是谷歌公司等网络服务提供者及其提供的信息存储平台[23]74。在大数据环境中，数据流通已经不限于数据主体和信息控制者之间的直接交互。低价值密度的单条个人医疗信息经海量汇总后通过大数据分析能够产生巨大的经济价值，因此个人数据在网络或浏览器缓存中被各种政府机构、非政府机构、商业组织等主动监测、搜集，参与多层次传播或交易流程，形成了去中心化的存储模式。数据主体甚至无法确定个人医疗数据已经被哪些实体所掌握，难以利用“被遗忘权”彻底清除网络中的数据。考虑到这种情况，欧盟委员会在《通用数据保护条例》第17 条第2 款中规定信息控制者应约束数据的后续传播，但仅要求信息控制者采取“合理措施”将数据主体的删除请求通知后续数据控制者，没有对后续数据控制者的行为进行限制。我国在《个人信息保护法》尚未发布的条件下，一般认为《侵权责任法》第36 条中关于“网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施”的规定是与被遗忘权的对应。该规定在大数据环境中跟《通用数据保护条例》中的被遗忘权条款存在同样的问题，即被侵权的数据主体只能向网络服务提供者提出删除、屏蔽、断开链接等请求，无法确保在后续信息传播过程中，存储有侵权内容的不确定第三方及时清除相关信息。

4 对大数据环境中个人医疗信息法律保护的建议

在市场开放、信息自由流动的信息化社会中，拥有一套完整且灵活的法律体制来适应技术创新的环境，社会经济才能繁荣发展[25]。传统信息环境中的个人信息保护分散立法的形式无法适应创新技术环境中数据主体对个人医疗信息的保护需求。虽然《个人信息保护法》已经被列入人大立法规划，但是在个人信息专门立法出台前制定个人医疗信息专门保护法的可能性不大。较为可行的方案是效仿欧盟模式，在《个人信息保护法》中对个人医疗信息作特殊考量。当然，效仿不意味着照搬。我国与欧盟诸成员国的国情不同，社会发展也存在较大差异。欧盟并未出现发达的互联网产业，我国对人格尊严与自由等个人权益的保护也有待完善[26]。综合考虑医疗信息本身的特殊性，以及大数据新技术特征给传统信息处理模式带来的冲击，我国个人信息保护应当以“保护优于利用”为原则，明确个人信息属于无财产性质的人格权，给予医疗信息以特殊类型的保护，并建立有效的行政监管机制。只有这样才有可能实现医疗信息保护与产业利益、社会公共利益之间的平衡。

4.1 明确个人医疗信息权利的人格权属性

个人医疗信息主体所享有的个人信息权一般被认为是兼具人格利益与财产利益的综合性权利[5]70。但是，在传统信息处理方式与大数据处理技术并存的现代社会，个人信息权的合理定位应该是一种新型人格权。人格利益因个人信息与数据主体人格尊严之间的密切联系而成为个人信息的法律属性，财产利益则不适用于个人信息权。换言之，个人医疗信息不应承载经济价值。在“摩尔诉加州大学董事会案”一案中，被告的发明专利虽然是通过研究原告被切除细胞中的生物信息所获得的成果，但原告没有在专利研发中做出“创造性努力”，因此加州最高法院判定原告在本案中不享有财产性利益。如果赋予个人信息权以财产利益，允许数据主体与控制者之间自由交易、转让，将不利于数据主体的权益保护。一方面，如上文所论述，数据主体作为弱势群体难以获得相应的经济回报。另一方面，大数据环境中数据搜集难度增加，数据主体理解能力有限，可能会被诱惑性或误导性地行使个人医疗信息交易、转让权利，从而遭遇意识之外的侵权。例如患者将其医疗信息出售给不规范数据企业，企业因其技术保障措施不到位，遭遇黑客攻击而泄露患者医疗信息等。知识产权中的著作权也兼具人格权与财产权性质，但与个人信息权有所不同。著作权中财产权利的设置是为了以经济报酬鼓励创新，有严格的地域性、期限性限制，超过时限则进入公共领域，成为共有资源。个人信息权则不宜以经济利益鼓励数据主体分享个人信息。个人医疗信息的开发利用虽然有公益性质，但不应成为公共资源，即使在数据主体死后仍应受到法律保护。

单条个人信息不具有经济价值，经过专业机构的搜集、整理之后，数据集合才拥有较高的应用价值，从而对各类数据利用者产生极大的吸引力。在大数据环境中，数据也以批量数据集合的形式流转。因此，我们应该赋予数据集合而非个人信息以财产权利属性，以投资人或数据集合所有者为权利主体。将个人信息中挖掘出的财产利益赋予数据集合投资人或所有者的合理性存在于两个方面。一方面，政府、社会组织、商业机构等搜集到个人信息并作匿名化处理后，数据集合财产权利所带来的经济报酬能激励大数据开发与市场交易利用，促进行业经济发展[27]。另一方面，这种权属界定方式有利于增强市场主体的责任意识。大数据环境中数据集合的权利主体须承担保护数据集合所涉个人信息权的义务。如果数据集合被不当利用或因其它原因而致数据主体权利受损，数据集合的权利主体应承担相应的法律责任。由此，数据集合权利主体的个人信息保护意识得到强化，在交易或许可中会更为谨慎，形成预防性保护机制。当数据集合中的个人信息在数据处理、传输过程中遭遇侵权时，我们也能够更明确地定位责任主体，为数据主体提供充分的救济性保护。

4.2 完善对个人医疗信息的特殊保护

个人医疗信息因其敏感性而应受到更为严格的法律保护。过去曾有国家规定禁止对此类数据进行处理。但是医疗信息的社会公益性又意味着利用大数据等新技术手段研究开发医疗信息的必要性。因此，我们应该在严格限制的前提下，对个人医疗信息进行适当的开发与利用。首先，个人医疗信息利用应该仅限于非营利性的医疗与科学研究目的。此类非营利性质的目的限定，在实现疾病治疗、传染病预防等公益性目标时，可避免数据控制者对个人医疗信息的不规范使用。尤其是在限制利用原则、知情同意架构等传统信息保护方式效用有限的大数据环境中，可有效规避商业机构追求经济利润最大化而非法收集、利用数据主体个人医疗信息带来的风险。其次，个人医疗信息使用目的的限定性，不排除其它机构的营利性研究或存储利用，如药企进行药物研发，但前提是个人医疗信息须经严格的匿名化处理，并报请行政机构审查批准。个人医疗信息的匿名化处理不仅要求去掉信息中的名称、别名、病历编号等标志性字段，还应对非关键字段作模糊化处理，避免使用者通过多个字段组合间接识别数据主体的身份。药企应当在其处理方式与处理结果通过行政部门审批后，才可启动信息处理项目，或者转让信息给其它机构。最后，传统信息环境中的例外情形，同样适用于大数据环境中的个人医疗信息，包括国家安全、公共卫生领域的公共利益等，且数据收集或处理机构均需采取适当措施保障数据主体的个人信息权。

4.3 建立个人医疗信息行政监管机制

大数据环境中个人医疗信息利益让渡于公共利益，理应有更多公权力介入以保障数据主体的信息安全。同时，政府机构作为需求主体之一，在各类平台中存储有大量个人医疗信息。面对强大的政府机器，个人医疗信息遭遇政府机构或其员工非法利用时，数据主体难以有效地维护自身权利。因此，独立的个人信息监管机构的建立很有必要。国际上已经有先行经验可供借鉴。欧盟设立有数据保护委员会，它作为独立的行政机关监督个人信息保护的全过程；日本个人数据委员会、韩国个人信息纠纷调解委员会，均可以通过相关程序保障信息主体的合法权利；美国虽然未成立专门的行政监管机构，但联邦贸易委员会（FTC）可制裁企业的个人信息侵权行为[27]150。我国国家卫生健康委员会（以下简称卫健委）在2018 年发布的《国家健康医疗大数据标准、安全和服务管理办法（试行）》中规定，健康医疗大数据的监督管理部门为卫健委，其监管职责主要是对“各类医疗卫生机构和相关企事业单位”进行检查指导、监测评估，以及对违规者进行追责。但是该管理办法的条款没有详细说明检查内容、评估标准、合规界限等内容，也未明确传统信息处理与健康医疗大数据应用之间的区别，导致边界模糊而难以落实。不仅如此，卫健委负责健康医疗大数据的监管工作，网信部门负责网络空间个人信息的监管工作，可能导致“多头管理”，形成个人数据主体维权与救济困难的局面。

因此，笔者建议我国设立专门的行政监管机构，确保《个人信息保护法》的有效实施，利用国家公权力为数据主体提供行政保护，强化对市场及政府数据使用行为的监督。对于个人医疗信息的保护，行政监管机构至少应当履行以下职责：一是对个人医疗信息的项目进行审查管理，确保充分匿名化之后才能进入限定目的之外的使用；二是监督各类数据控制者的医疗信息搜集、存储、处理、转让等行为，发现可能侵权时及时制止，并对违规的使用行为予以制裁；三是为数据主体提供查询、维权渠道，确保个人医疗信息知情权、修改权、删除权等权利内容的有效施行，为权利遭受侵害的个人数据主体提供纠纷调解机制；四是为数据主体与其他相关人员提供畅通的举报通道，调动利益相关方的力量形成社会监督机制，预防可能出现的数据违规使用行为。只有建立有效的行政监管机制，协调各方利益，才能充分保障个人信息权的实现。

5 结语

虽然在个人信息保护制度成形之前考虑个人医疗信息单独立法还为时尚早，但针对个人医疗信息保护方式的探讨却有其必要性。当前个人信息保护法律缺位，公民信息因得不到妥善保护而被不当收集与利用，电信、网络诈骗案件层出不穷，如徐玉玉案、李文星案、宋振宁案等，甚至有高校教授因个人信息泄露而成为诈骗案件受害人。大数据技术的实践使得公民个人信息遭遇不当利用的风险进一步增加，具有较高集成利用价值的个人医疗信息更是首当其冲。因此，立法部门不仅应该加快个人信息保护立法的推进进程，还应当在制度设计中摆脱传统框架的束缚，努力适应大数据技术的新特征，结合个人医疗信息的特点，在个人信息保护法中给予妥善保护，为个人医疗信息在大数据环境中的开发应用保驾护航。如果能够充分利用大数据带来的机遇，我国医疗、药品研发行业乃至传统中医、针灸都有可能获得新的发展契机，并实现突破性进展。